
Image by Yuri Samoilov, from Flickr
Falsas páginas de Google Play propagan el malware SpyNote a los usuarios de Android
Una nueva campaña de malware para Android descubierta recientemente está distribuyendo el poderoso SpyNote Remote Access Trojan (RAT) al imitar las páginas de Google Play Store en sitios web engañosos.
¿Con prisa? Aquí están los datos rápidos:
- Las descargas maliciosas de APK comienzan a través de falsos botones de “Instalar”.
- SpyNote permite el espionaje, el robo de datos y el control remoto del dispositivo.
- El malware abusa de los permisos de Android para evitar su detección y eliminación.
Investigadores de seguridad en Infosecurity indican que la campaña utiliza dominios recientemente registrados para engañar a los usuarios haciéndoles descargar aplicaciones infectadas que se presentan como software popular.
Las páginas falsas se parecen mucho a las listas auténticas de Google Play, con carruseles de imágenes, botones de “Instalar” y rastros de código que hacen referencia a la aplicación de TikTok para Android. Cuando los usuarios hacen clic para instalar, un JavaScript malicioso desencadena una descarga automática de un archivo APK trampa.
Una vez instalado, el APK ejecuta una función oculta que instala un segundo APK que contiene la carga útil principal de SpyNote. Este malware se conecta a servidores de comando y control (C2) utilizando direcciones IP codificadas en su código, lo que permite el acceso remoto y la vigilancia.
SpyNote otorga a los atacantes un control total sobre los dispositivos infectados. Sus características incluyen la intercepción de llamadas y SMS, el acceso a contactos, la grabación de llamadas telefónicas, el registro de pulsaciones de teclas, la activación de la cámara y el micrófono, y el seguimiento de la ubicación GPS.
El malware también puede instalar otras aplicaciones, bloquear o limpiar dispositivos y prevenir su eliminación abusando de los servicios de accesibilidad de Android.
“SpyNote es famoso por su persistencia, a menudo requiere un restablecimiento de fábrica para su eliminación completa”, advirtieron los investigadores de DomainTools, quienes descubrieron la campaña, según lo informado por Infosecusiry.
Las pistas en el malware y la infraestructura de entrega sugieren un posible vínculo con China. El malware contiene código en chino y utiliza plataformas de distribución alojadas en China.
Infosecurity señala que, aunque no se ha hecho una atribución definitiva, SpyNote se ha asociado previamente con campañas de espionaje contra personal de defensa indio y con grupos de amenazas avanzadas como APT34 y APT-C-37.
Este descubrimiento sigue a una ola de amenazas similares dirigidas a Android, incluyendo el reciente ToxicPanda malware que se dirigió a las aplicaciones bancarias. Los expertos en seguridad recomiendan evitar las descargas de aplicaciones de terceros y confiar únicamente en tiendas de aplicaciones de confianza.
Dejar un comentario
Cancelar